- 博客(19)
- 收藏
- 关注
RSS订阅原创 训雷协议分析的源代码
#include #include #include "aes.h"#pragma comment(lib, "Ws2_32.lib")bool MakePackage(const char *address, const char *id, unsigned char *package){ size_t len = strlen(address); if (len > 0x3C) {
2007-01-24 11:33:00
542
原创 利用page hook对密匙进行保存和访问控制
记得去年看到过一篇文章 是关于page hook 来对关键数据和执行代码进行访问控制 ,用来实现躲避内存扫描,原理简单如下,首先利用hook idt表,对页出错处理进行监控,对于页交换在这里进行控制, 首先进行对页的读/写/执行访问控制在页错误处理程序中, 可以使用保存过的指令指针(IP)和错误处理地址. 如果指令指针和错误处理地址相同, 那么这就是一个执行访问.否则,这是一个读/写访问. 当
2006-12-13 16:18:00
776
原创 简单的tdi hook
学了一天tdi,整个框架看的还不是太明了,做了个简单的tdi hook的框架主要代码如下DRIVER_OBJECT RealTDIDriverObject;typedef struct forcontext{ PVOID context_con; PVOID context_routine;}context_org,*pcontext_org;//保存环境extern NTKERNEL
2006-12-04 20:11:00
885
原创 假期结束之前,,,
这是我前阵子做的一个ndis驱动 通过ndis hook读取数据包中的内容 然后分析如果是我们构造的是数据报 则把其中的shellcode插入到apc队列当中 还不能够执行过长的shellcode 超过一个包的长度 再结构中保留了其中需要的数据结构 通讯的包使用的是udp数据报结构 源代码: http://my.opera.com/xyooyy/homes/fil
2006-08-30 21:59:00
570
3
原创 8月24日 夜
很久没来了,毕业两个月了。日子很无聊,有点想找工作了。 这些日子没啥事情,作了个HOOK NDIS(似乎应该这么叫,记不大清了)驱动,远程发送带有SHELLCODE的包,然后把包插入到进程的APC中,来控制计算机,不知道行不行,代码写好了,懒得测试,真是郁闷,该死的TCP/IP协议又不大熟悉,哎。懒得一个人看书,有时候想向有人陪就好了=。=,在或者有人对这个熟悉教教我则更好了。 不
2006-08-24 00:56:00
487
原创 6月27日 夜 堕落
看了篇文章,说我们一代的是堕落的一代。。。没有看完,猛然间自问是啥时候堕落的? 高三?那时候天天逃课,是迷茫? 大一不去上课,网吧早去夜归,是默然、迷茫。 大二,逃课挂课被处分了,迷茫!随之而来的更是无聊,于是翻了很多书,就学起了计算机。。。 本以为自此不再堕落,可是毕业之日,我每当问起自己想干什么喜欢什么的时候却不能回答自己的问题。理想是虚幻的,自小也许就没有过,也或
2006-06-27 02:41:00
547
原创 5月15日 晴 欺骗
与其叫欺骗其实这片日记叫黑客比较合适,但是不论叫什么。其实我都欺骗了看这篇文章的人。哈哈黑客是什么呢? 有善意的以发现计算器系统漏洞为乐趣的「计算机黑客」(Hacker),又有玩世不恭好恶作剧的「计算机黑客」(Cyberbunk),还有纯粹以私利为目的,任意篡改数据,非法获取信息的「计算机黑客」(Cracker)。 呵呵 当然不是我下的定义 我从网站上抄的 说白了
2006-05-16 03:01:00
600
原创 证明堆的不安全性
前几日 研究堆本希望叫我同学明白 堆是不安全的 他不信我 讲又讲不明白他 于是狂骂之 今日无聊 写了个程序给他讲 白痴终于开窍了。。。 基本理论情况是满清楚的 一直没有写过着得东西 本不想搞这些东西 最终也抵制不了自己的好奇 人啊 真是个贱东西 me too———————————————————————————#include "stdafx.h"#incl
2006-05-09 14:21:00
545
原创 5月5日 阴 唠叨唠叨
一天没出门 要毕业了真愁 不像靠研究生 觉得没啥用 工作也不大想去 大学生不值钱 估计自己也卖不了几个钱 何况自己是个三流大学的三流猪 好吃懒惰 不学无术 泡吧吹牛最在行的我 (说的是网吧)埃 哈哈 对这些来说 更想去旅游 去西藏新疆 一直挺向往 当年上初中的时候 趁学习的时候头看小说 说的那里简直太棒了 以至于学校当初找学生去支援西部的时候 我还考虑自己去不去 我去那里更
2006-05-06 02:05:00
772
1
原创 windows 2000 堆管理的一点心得和体会
windows 2000堆管理 较为复杂 基本是通过三种方式来管理堆 分别是sidealook freelist cache freelist是个双向连表 把同样大小的空闲的对快连接到一起 freelist ------------------->0x0 这里是大于1024的空闲堆 0x01
2006-05-06 01:38:00
1031
转载 Windows磁盘驱动基础教程
转自 http://bbs.zndev.com/htm_data/39/0508/96456.html摘要 本文讲述Windows磁盘驱动的主要结构功能与编写方法基础。本文描述的内容仅限于软件层面,并不与具体的硬件相关。1.磁盘驱动基础 不少人把文件系统驱动和磁盘驱动混为一谈。实际上文件系统驱动应该与磁盘驱动是两类不同的驱动程序。文件系统仅仅考虑数据在存储设备上的保存格
2006-04-28 21:43:00
1245
原创 4月26日 晴转阴 杂乱
混沌是什么呢?无?不是 混沌或许是没有矛盾的一种意思吧 茅盾是不可能没有的万物似乎都具有矛盾 矛盾似乎是具备的平衡 一旦不平衡 就会组建新的平衡 有意思的一种东西 混沌 混沌不存在矛盾 如果说从最大化的着眼 无数的平衡交织 无数的矛盾平衡交织就好死不存在矛盾一般 也许这就是混沌吧。。 角度不同看到的事物不同 线的交织为面 点的连续为线 平衡的交错或许就是一种混沌 一种包罗
2006-04-26 21:13:00
489
原创 4月25号 阴
几日,从底层的学习跳入了面向对象的学习 设计模式很有意思 尽管没有看完 总觉得如果从操作系统的角度来思考 类与类的关系 就好像系统和用户一样 无论是windows 还是linux 用户不必关系自己运行的是什么程序 这与类与类之间的关系很有类似之处 类总是分为控制类 和 实现类 这是为了叫类有独立发展的空间而设定的(我目前的理解是这样子的) 继承为基础的类工作方式有点类似
2006-04-25 21:11:00
552
原创 进程地址空间中的可确认的内存区域(windows2000)
起始地址 结束地址 十六进制大小 类型 / 描述 0x00000000 0x0000FFFF 10000 底部的受保护块( Lower guard block ) 0x00010000 0x0001FFFF 10000 WCHAR[]/ 环境字符串,在一个 4KB 页中分配 0x00020000 0x0002FFFF 10000 PROCESS_PARAMETERS/ 在一个 4KB
2006-04-25 19:10:00
728
原创 没有对ntfs.sys hook的情况下有效的枚举文件
编写一个线程 用来对文件进行枚举typedef struct _THREAD_EVENT{ KEVENT most_wait_thread;//这里是主线程唤醒辅线程时 主线程对待的互迟量 KEVENT hyp_wait_thread;//这时主线程唤醒辅线程的互斥量 WCHAR* file_name;//要枚举的文件夹 PVOID in_buffer;//进行枚举后文件结构所
2006-04-17 22:06:00
796
原创 人脑与电脑
电脑不具备思考能力。 如果说人是高等动物的话,相对于低等动物来说,人有很强的思考能力,和大脑天然优势,比其他任何一个地等动物具有更大,具有更多的细胞 然后熊和人类大脑是最接近的,熊缺不具备思考能力。人所具备的想象能力是其他动物所不具有的。 如果思考是一棵多藤,多根的大树。笨笨的电脑自然会选择遍历,来耦合所要寻找的或者是证明的结果。(在我看来实在是一种碰运气的做法) 因为
2006-04-12 02:04:00
597
原创 写了几个函数 来防止ntfs.sys被hook
日子无聊的很 还好电脑总是最听话的 你叫他玩游戏 他不会看电影哈哈 至少很少说谎 以后找女人也要找这样的ULONG get_funaddr(ULONG* pdriver_entry,ULONG major_function) { int i=0; ULONG function=0; ULONG index = major_function*4+0x38; //找到所对应的
2006-04-05 14:08:00
1044
原创 window 2000动态切换进程内存空间
首先检查目标线程是不是当前线成 然后将切换的目标进程堆栈+1 之后保存当前线成apc到SavedApcState 初始化当前线程的apc链 其中包括内核链和用户链 InitializeListHead(&Thread->ApcState.ApcListHead[KernelMode]); InitializeListHead(&Thread->ApcState.ApcListHead[Us
2006-03-20 02:55:00
594
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人